Північнокорейські хакери атакують Python-розробників фейковими співбесідами

Спеціалісти з кібербезпеки ReversingLabs виявили зловмисне програмне забезпечення, пов’язане з північнокорейською командою хакерів Lazarus Group. Зловмисники запрошували Python-розробників на фальшиві співбесіди, щоб під час інтерв’ю змусити їх виконати на своїх комп’ютерах шкідливий код.

Експертам ReversingLabs вдалося ідентифікувати, як мінімум, одного постраждалого розробника та отримати від нього інформацію про те, що хакери видають себе за рекрутерів великих фінансових компаній.

Шкідливий код був прихований у скомпільованих файлах Python, що ускладнило його виявлення. Пакети були замасковані під тести перевірки навичок кодування та мали такі назви, як «Python_Skill_Assessment.zip» і «Python_Skill_Test.zip».

Інструкції у файлах README спонукали кандидатів знайти та виправити помилку в програмі диспетчера паролів, що призводило до запуску зловмисного програмного забезпечення незалежно від того, чи виконано завдання. Троян містився в змінених модулях pyperclip і pyrebase, присутніх у файлі __init__.py та скомпільованому файлі Python.

Дослідники виявили, що хакери видавали себе за рекрутерів великої американської фінансової компанії Capital One. Інший архів був названий «RookeryCapital_PythonTest.zip», посилаючись на назву іншої компанії, яка теж надає фінансові послуги.

Незважаючи на те, що деякі з цих атак відбулись понад шість місяців тому, є докази того, що діяльність злочинців триває.